Avaleht » » Linuxi võimalustega töötamine

Linuxi võimalustega töötamine

  • Sissejuhatus
  • Eeltingimused
  • Selgitus
  • Töötamine failivõimalustega
  • Järeldus

    • Sissejuhatus

    Linuxi võimalused on Linuxi tuuma eriatribuudid, mis annavad protsessidele ja binaarsetele täitmisfailidele spetsiifilised õigused, mis on tavaliselt reserveeritud protsessidele, mille efektiivne kasutaja ID on 0 (juurkasutaja ja ainult juurkasutaja UID on 0).

    See artikkel selgitab mõningaid saadaolevaid võimalusi, nende kasutusalasid ning nende seadistamist ja eemaldamist. Pange tähele, et käivitatavate failide võimaluste seadistamine võib teie süsteemi turvalisust ohustada. Seetõttu peaksite enne tootmisvõimaluste kasutuselevõttu kaaluma testimist mittetootmissüsteemis.

    Eeltingimused

    • Linuxi süsteem, millele teil on juurjuurdepääs (kas juurkasutaja või sudo-juurdepääsuga kasutaja kaudu).

    Selgitus

    Põhimõtteliselt on võimaluste eesmärk jagada „root” võimsus konkreetseteks privileegideks, nii et kui kasutatakse protsessi või kahendfaili, millel on üks või mitu võimalust, on võimalik kahju piiratud, kui võrrelda sama protsessiga, mis töötab juurfunktsiooniga.

    Võimalusi saab seadistada protsessidele ja käivitatavatele failidele. Faili täitmisest tulenev protsess võib omandada selle faili võimalused.

    Linuxis rakendatud võimalusi on palju ja paljusid on lisatud alates nende algsest väljalaskmisest. Mõned neist on järgmised:

    • CAP_CHOWN: muutke failide kasutajatunnust ja rühma ID-d
    • CAP_DAC_OVERRIDE: DAC (diskreetne juurdepääsukontroll) alistamine. Näiteks vto möödub lugemise/kirjutamise/käivitamise lubade kontrollimisest.
    • CAP_KILL: Minge protsessidele signaalide saatmise lubade kontrollist mööda.
    • CAP_SYS_NICE: Tõsta protsesside kenust ( Ilususe selgituse leiab siit )
    • CAP_SYS_TIME: seadistage süsteemi ja reaalajas riistvarakell

    Täieliku loendi vaatamiseks käivitage man 7 capabilities.

    Võimalused on määratud komplektidena, nimelt lõimede puhul "lubatud", "päritav", "efektiivne" ja "keskkond" ning failide jaoks "lubatud", "päritav" ja "efektiivne". Need komplektid määratlevad erinevad keerulised käitumisviisid, nende täielik seletus ei kuulu käesoleva artikli reguleerimisalasse.

    Failis võimaluste määramisel kasutame peaaegu alati näiteks "lubatud" ja "efektiivne", näiteks CAP_DAC_OVERRIDE+ep. Pange tähele +ep, mis tähistab eelnimetatud komplekte.

    Töötamine failivõimalustega

    Vajalikud paketid

    On kaks peamist tööriistad getcapja setcapmida saab vastavalt vaadata ja seada neid atribuute.

    • Debiani ja Ubuntu puhul pakub libcap2-binpakett neid tööriistu , mille saab installida koos:apt install libcap2-bin
    • CentOS-is ja Fedoras on libcappaketti vaja:yum install libcap
    • Arch Linuxis pakuvad neid libcapka:pacman -S libcap

    Lugemisvõimalused

    Et näha, kas failil on mingid võimalused seatud, võite lihtsalt käivitada getcap /full/path/to/binary, näiteks:

     root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

    Kui soovite teada saada, millised võimalused on teie süsteemis juba seadistatud, saate kogu failisüsteemist rekursiivselt otsida järgmise käsuga:

    getcap -r /

    Kuna virtuaalsed failisüsteemid (nt /proc) neid toiminguid ei toeta, põhjustab ülaltoodud käsk tuhandeid vigu, seega kasutage puhtama väljundi jaoks järgmist:

    getcap -r / 2>/dev/null

    Võimaluste määramine ja eemaldamine

    Failile konkreetse funktsiooni määramiseks kasutage setcap "capability_string" /path/to/file.

    Kõigi võimaluste eemaldamiseks failist kasutage setcap -r /path/to/file.

    Demonstreerimiseks loome praeguses kataloogis tühja faili, anname sellele võimaluse ja eemaldame selle. Alustage järgmisest:

    root@demo:~# touch testfile
root@demo:~# getcap testfile

    Teine käsk ei anna väljundit, mis tähendab, et sellel failil pole mingit võimalust.

    Järgmisena määrake failile võimalus:

    root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

    Näitena kasutati "CAP_CHOWN+ep", kuid sel viisil saab määrata mis tahes muu.

    Nüüd eemaldage saidilt kõik võimalused testfile:

    root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

    Jällegi väljundit ei toimu, kuna "CAP_CHOWN+ep" eemaldati.

    Järeldus

    Võimalustel on palju kasutusvõimalusi ja need võivad aidata teie süsteemide turvalisust tugevdada. Kui kasutate täitmisfailides SUID-bitti, kaaluge selle asendamist konkreetse vajaliku võimalusega.

    Jäta kommentaar

    Masinate tõus: AI tegelikud rakendused

    Masinate tõus: AI tegelikud rakendused

    Tehisintellekt ei ole tulevik, see on siin, olevikus. Sellest blogist loe, kuidas tehisintellekti rakendused on mõjutanud erinevaid sektoreid.

    DDOS-i rünnakud: lühike ülevaade

    DDOS-i rünnakud: lühike ülevaade

    Kas olete ka DDOS-i rünnakute ohver ja olete segaduses ennetusmeetodite osas? Oma päringute lahendamiseks lugege seda artiklit.

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Kas olete kunagi mõelnud, kuidas häkkerid raha teenivad?

    Võib-olla olete kuulnud, et häkkerid teenivad palju raha, kuid kas olete kunagi mõelnud, kuidas nad sellist raha teenivad? arutleme.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Googlei revolutsioonilised leiutised, mis muudavad teie elu lihtsaks.

    Kas soovite näha Google'i revolutsioonilisi leiutisi ja seda, kuidas need leiutised muutsid iga inimese elu tänapäeval? Seejärel lugege ajaveebi, et näha Google'i leiutisi.

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Reede oluline osa: mis juhtus tehisintellektiga juhitavate autodega?

    Isejuhtivate autode kontseptsioon tehisintellekti abil teedele jõudmiseks on meil juba mõnda aega unistus. Kuid vaatamata mitmele lubadusele pole neid kusagil näha. Lisateabe saamiseks lugege seda ajaveebi…

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Tehnoloogiline singulaarsus: inimtsivilisatsiooni kauge tulevik?

    Kuna teadus areneb kiiresti, võttes üle suure osa meie jõupingutustest, suureneb ka oht, et allume seletamatule singulaarsusele. Loe, mida singulaarsus meie jaoks tähendada võiks.

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Suurandmete viitearhitektuuri kihtide funktsioonid

    Lugege ajaveebi, et kõige lihtsamal viisil teada saada Big Data Architecture'i erinevaid kihte ja nende funktsioone.

    Andmesalvestuse areng – infograafik

    Andmesalvestuse areng – infograafik

    Andmete säilitamise meetodid on arenenud alates andmete sünnist. See ajaveeb käsitleb infograafiku alusel andmete salvestamise arengut.

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    6 hämmastavat eelist nutikate koduseadmete olemasolust meie elus

    Selles digipõhises maailmas on nutikad koduseadmed muutunud elu oluliseks osaks. Siin on mõned nutikate koduseadmete hämmastavad eelised, mis muudavad meie elu elamisväärseks ja lihtsamaks.

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    macOS Catalina 10.15.4 täienduse värskendus põhjustab rohkem probleeme kui lahendamine

    Hiljuti andis Apple välja macOS Catalina 10.15.4 täiendusvärskenduse probleemide lahendamiseks, kuid tundub, et värskendus põhjustab rohkem probleeme, mille tulemuseks on Maci masinate tellimine. Lisateabe saamiseks lugege seda artiklit